Stortingsrepresentantene André Oktay Dahl, Ine M.
Eriksen Søreide, Anders B. Werp, Lars Myraune og Svein Harberg fremmet
15. juni 2012 følgende forslag:
«Stortinget ber regjeringen legge fram en nasjonal
strategi for styrket informasjons- og cybersikkerhet. Strategien
må klargjøre ansvars- og oppgavefordelingen innen dette feltet på
departementsnivå.»
Komiteen, medlemmene fra Arbeiderpartiet,
Jan Bøhler, Tore Hagebakken, Sigvald Oppebøen Hansen, Anna Ljunggren
og Tove-Lise Torve, fra Fremskrittspartiet, Hans Frode Kielland
Asmyhr, Ulf Leirstein, Åse Michaelsen og lederen Per Sandberg, fra Høyre,
André Oktay Dahl og Anders B. Werp, fra Sosialistisk Venstreparti, Akhtar
Chaudhry, og fra Senterpartiet, Jenny Klinge, viser til
representantforslaget om målrettet og forsterket innsats for informasjons-
og cybersikkerhet (Dokument 8:147 S (2011–2012)). Saksfeltet er
komplekst og krever stor kunnskap og evne til å se helheten. Det
er derfor av stor viktighet at Norge får på plass en nasjonal strategi
som kan ivareta samfunnets interesser og evne til å beskytte seg.
Komiteens medlemmer fra Fremskrittspartiet
og Høyre viser videre til Budapest-konvensjonen som har
forsøkt å definere begreper knyttet til cyberdomenet. I seg selv
er det forvirrende at man ikke er helt klar over hva andre snakker om.
Det første som kreves er derfor en begrepsavklaring på dette området.
Dette gjelder også i det norske lovverket hvor det er et behov for
en opprydding i begreper som for eksempel data, gjenstand, ting
og nett. Begrepsforvirringen som hersker, samt språk i lovtekster
er ikke tilpasset utviklingen innen cyberdomenet, noe som vanskeliggjør
behandling i rettsapparatet.
Komiteen har merket seg at Næringslivets Sikkerhetsråd
(NSR) har inngått en samarbeidsavtale med NorSIS for felles å styrke
informasjonssikkerheten i Norge generelt og norsk næringsliv spesielt. Dette
er en god begynnelse på arbeidet med å få til samhandling og informasjonsdeling.
Komiteen viser også til NorSIS
sin påpekning om at datasikkerhet må inn i folks bevissthet i mye større
grad. Føre-var-prinsippet må legges til grunn. I dette perspektivet
er forebygging viktig.
Komiteens medlemmer fra Fremskrittspartiet
og Høyre mener det derfor må vurderes om kunnskap om datasikkerhet
må inn i skolen som en del av opplæringen i forhold til ny teknologi
og håndtering av denne.
Komiteenes medlemmer fra Fremskrittspartiet fremmer
derfor følgende forslag:
«Stortinget ber regjeringen gjøre en vurdering
av om kunnskap om datasikkerhet skal inn i skolen som en del av
opplæringen i forhold til ny teknologi og håndtering av denne.»
Komiteens flertall, medlemmene
fra Arbeiderpartiet, Sosialistisk Venstreparti og Senterpartiet,
viser til brev fra Fornyings-, administrasjons- og kirkeministeren
datert 18. oktober 2012 (vedlagt), der statsråden viser til at regjeringen
har varslet at det vil bli lagt fram en strategi for informasjonssikkerhet.
I brevet skriver statsråden at en slik ny strategi vil bli ferdigstilt
i løpet av kort tid og angi retning for sikkerhetsarbeidet og klargjøre
prioriteringer for myndighetenes innsats. Flertallet har
videre merket seg at regjeringens strategi vil bli fulgt opp med
en mer konkretisert handlingsplan, og at arbeidet med denne planen
også allerede er godt i gang.
Flertallet er enig med statsråden
i at det er et svært viktig tema som tas opp i representantforslaget og
at forslaget inneholder mange gode innspill til hvordan informasjonssikkerheten
i samfunnet kan forbedres og styrkes. Flertallet mener
det er positivt at det er godt samsvar mellom disse innspillene og
tiltakene i strategien regjeringen er i ferd med å ferdigstille,
slik statsråden peker på. Flertallet viser derfor
til at representantforslagets intensjoner vil bli godt ivaretatt
gjennom regjeringens pågående og prioriterte arbeid på feltet.
Videre ser komiteens medlemmer
fra Fremskrittspartiet og Høyre at det er mangel på bestillerkompetanse
ute i næringslivet, noe som gjør det ekstra vanskelig å få på plass
samhandling og koordinering mellom det offentlige og det private
området. Norge kan bli verdensledende i cybersikkerhet. Vi har høy
teknologikunnskap og kan snu oss fort.
Disse medlemmer er imidlertid
mest bekymret for datasikkerheten innen offentlig sektor og mener
dette temaet nå må få større oppmerksomhet. I denne sammenheng vises
det til at Riksrevisjonen nok en gang har kommet med hard kritikk
av Justisdepartementet for dårlig datasikkerhet. Dette i tillegg til
ulike datahavari i andre offentlige etater som man har sett de siste
årene. Slike sammenbrudd har skjedd uten angrep utenfra. Dette taler
for at beredskapen mot dataangrep er svært dårlig.
Disse medlemmer er innforstått
med at satsing på datasikkerhet har en kostnadsmessig side, men
sett i det forebyggende bildet så har Norge som samfunn ikke råd
til å la være å være best mulig forberedt. Sitatet «Synes du sikkerhet
er dyrt, prøv en katastrofe» sagt av tidligere konsernsjef i Veritas, Sven
Ullring, er dekkende for dette.
Komiteens medlemmer fra Fremskrittspartiet mener
at man bør vurdere om det skal opprettes en belønningsordning, der
offentlig/privat næringsliv inngår samarbeid som et virkemiddel
for å høyne sikkerheten for felleskapet. Dette fordi det er vanskelig
å definere eierskapet og dermed kostnadene til investeringer for
felles løsninger, som deretter skal deles med andre instanser. Dessuten
er det viktig med økonomisk langsiktighet i dette perspektivet.
Kunnskap og sikkerhet koster.
Disse medlemmer fremmer derfor
følgende forslag:
«Stortinget ber regjeringen vurdere å opprette
en belønningsordning, der offentlig/privat næringsliv inngår samarbeid
som et virkemiddel for å høyne sikkerheten for felleskapet.»
Komiteens medlemmer fra Høyre vil understreke at
den nasjonale strategien for styrket informasjons- og cybersikkerhet
må fastsettes, og ansvaret plasseres, før samarbeidsformer og målrettede virkemidler
kan utformes. De overordnede målene må være styrende for hvilke
tiltak som velges. Disse medlemmer mener at ulike
incentivordninger vil kunne være viktig for å realisere målsetningene, men disse
medlemmer mener at det ikke er riktig å konkludere med hvilke
ordninger som bør prioriteres på nåværende tidspunkt.
Komiteen viser til at trusselbildet
er i konstant endring. Man vet også at behovet for dynamikk og fleksibilitet
er viktige nøkler til å være i forkant av alvorlige hendelser. Videre
er det påpekt en rekke ganger fra Forsvarets side at vårt «Center
of gravity» flytter seg i retning av IKT. Dette gir grunn til ettertanke
og handling.
Komiteen ser at andre land på
en rekke områder har kommet lengre i sin tilnærming til disse utfordringene
enn det Norge har. Komiteen har til behandling Prop.
129 L (2011–2012) og Prop. 130 S (2011–2012) som tar inn over seg
endringer og samhandling mellom landene basert på kritisk infrastruktur. Komiteen ser
derfor viktigheten av å ha fokus på helheten av cyberdomenet, ikke
bare som en nasjonal utfordring, men vel så mye som en internasjonal
utfordring da det i cyberspace ikke finnes nasjonale grenser.
Komiteens medlemmer fra Fremskrittspartiet
og Høyre støtter forslaget og anbefaler Stortinget å gi
sitt samtykke til dette.
Disse medlemmer fremmer følgende
forslag:
«Stortinget ber regjeringen legge fram en nasjonal
strategi for styrket informasjons- og cybersikkerhet. Strategien
må klargjøre ansvars- og oppgavefordelingen innen dette feltet på
departementsnivå.»
Forslag fra Fremskrittspartiet og Høyre:
Forslag 1
Stortinget ber regjeringen legge fram en nasjonal strategi
for styrket informasjons- og cybersikkerhet. Strategien må klargjøre
ansvars- og oppgavefordelingen innen dette feltet på departementsnivå.
Forslag fra Fremskrittspartiet:
Forslag 2
Stortinget ber regjeringen gjøre en vurdering
av om kunnskap om datasikkerhet skal inn i skolen som en del av
opplæringen i forhold til ny teknologi og håndtering av denne.
Forslag 3
Stortinget ber regjeringen vurdere å opprette
en belønningsordning, der offentlig/privat næringsliv inngår samarbeid
som et virkemiddel for å høyne sikkerheten for felleskapet.
Komiteen har for øvrig
ingen merknader, viser til representantforslaget og rår Stortinget
til å gjøre slikt
vedtak:
Dokument 8:147 S (2011–2012) – representantforslag
fra stortingsrepresentantene André Oktay Dahl, Ine M. Eriksen Søreide,
Anders B. Werp, Lars Myraune og Svein Harberg om målrettet og forsterket
innsats for informasjons- og cybersikkerhet – vedlegges protokollen.
Jeg viser til brev fra Stortingets justiskomité
av 2. oktober 2012 bilagt forslag fra stortingsrepresentantene André
Oktay Dahl (H), Ine M. Eriksen Søreide (H), Anders B. Werp (H),
Lars Myraune (H) og Svein Harberg (H) der de foreslår at Stortinget
skal be regjeringen om å legge frem en nasjonal strategi for styrket
informasjons- og cybersikkerhet. Forslaget innebærer også at strategien
skal ha en klargjøring av ansvars- og oppgavefordelingene på departementsnivå.
Det er et svært viktig tema forslaget berører.
Jeg er enig med forslagsstillerne i at det er viktig med målrettet
og forsterket innsats for å bedre informasjons- og cybersikkerheten.
Regjeringen har allerede varslet at vi vil legge frem en strategi
for informasjonssikkerhet. I Meld. St. 29 (2011-2012) Samfunnssikkerhet har vi også varslet
at vil det foretas en fornyet vurdering av ansvarsforholdene mellom
departementene.
Strategien vil erstatte Nasjonale
retningslinjer for å styrke informasjonssikkerheten 2007-2010. De nasjonale
retningslinjene er prolongert i påvente av den varslede nye strategien
som vil bli ferdigstilt i løpet av kort tid. Strategien vil angi
retning for sikkerhetsarbeidet og klargjøre hvilke prioriteringer
for myndighetenes informasjonssikkerhetsarbeid. Strategien vil bli
fulgt opp med en mer konkretisert handlingsplan. Arbeidet med denne
planen er allerede godt i gang.
For å sørge for en helhetlig tilnærming til
dagens utfordringer har forslaget til cybersikkerhetsstrategi som
Nasjonal sikkerhetsmyndighet utarbeidet i 2009, og innspill fra
høringsrunden til denne, inngått som et viktig grunnlagsmateriale
for arbeidet med informasjonssikkerhetsstrategien.
Representantforslaget inneholder mange gode innspill
til hvordan informasjonssikkerheten i samfunnet kan forbedres og
styrkes. Innspillene er i tråd med strategien som vi er i ferd med
å ferdigstille, og jeg mener de er viktige innspill til oppfølgingen
av strategien og utformingen av handlingsplanen.
Jeg vil understreke at mye allerede er gjort,
og mer er planlagt framover, blant annet:
Cyberforsvaret ble
i september 2012 formelt etablert av forsvarsministeren.
Regjeringen har i forbindelse med statsbudsjettet 2013
foreslått å gi Nasjonal sikkerhetsmyndighet (NSM) et betydelig budsjettløft
på til sammen 42,9 mill. 32 mill. kr av dette er foreslått brukt
til en oppgradering av Norwegian Computer Response Team (NorCERT)
fra 2013 slik at senteret kan døgnbemannes. En styrking av NorCERT vil
øke den nasjonale evnen til effektivt å håndtere alvorlige IKT-hendelser,
kapasiteten til å analysere skadevare og foreta en strategisk analyse av
IKT-risikobildet, samt styrke koordineringen av det operative samarbeidet
innenfor sikkerhet i kritisk IKT-infrastruktur. Det nordiske CERT-samarbeidet
blir også styrket. NorCERT har i 2012 fått nye og tidsriktige lokaler
som også vil legge til rette for denne økte satsingen.
IKT-sikkerhet fikk en særskilt omtale og
et eget kapittel i stortingsmeldingen om samfunnssikkerhet.
Regjeringen har i statsbudsjettet for 2013
foreslått å styrke arbeidet med informasjonssikkerhet i statsforvaltningen
med 12 mill. kr. Midlene skal gå til etablering av et eget IKT-sikkerhetsmiljø
i Direktoratet for forvaltning og IKT (Difi). Difi skal blant annet
utvikle felles tiltak og koordinere informasjonssikkerhetsarbeidet
på tvers av statlige virksomheter. Difi skal også vurdere og anbefale
felles statlige IKT-sikkerhetsstandarder og -metodikker, drive bevisstgjøringsaktiviteter
og kompetansefremmende tiltak, samt være pådriver i statsforvaltningen
når det gjelder etablering av en sikkerhetskultur og god styring
av informasjonssikkerhet. Difis informasjonssikkerhetsarbeid vil
skje i nært samarbeid med andre berørte aktører. Styrkingen av Difi
kommer i tillegg til at vi viderefører det årlige tilskuddet på
6,86 mill. kr til Norsk senter for informasjonssikring i 2013, som
driver forebyggende bevisstgjøringsarbeid rettet mot små og mellomstore
virksomheter herunder kommuner.
Jeg vil understreke at selv om mye ressurser
og oppmerksomhet er brukt på informasjonssikkerhet, vil dette området
kreve enda mer oppmerksomhet i tiden framover. Etter hvert som bruk
av IKT blir stadig viktigere blir også truslene mot IKT-systemer
og nettverk mer krevende å håndtere. Jeg støtter forslagsstillerne
i at en helhetlig strategi er nødvendig, og at strategien må følges
aktivt opp. Den tilhørende handlingsplanen er derfor også et nødvendig
tiltak. Den tyngste delen av dette arbeidet vil likevel nødvendigvis
måtte gjennomføres i den enkelte sektor.
Regjeringen har prioritert området ressursmessig,
blant annet i forslaget til statsbudsjett for 2013. Den nasjonale
strategien for informasjonssikkerhet, og handlingsplanen for oppfølging
av strategien, vil etter min vurdering dekke de forholdene som omtales i
representantforslaget. Jeg understreker likevel at det er nødvendig
å følge utviklingen nøye slik at vi til enhver tid har nødvendig
oppmerksomhet rettet mot arbeidet med informasjonssikkerhet.
Oslo, i justiskomiteen, den 27. november 2012
Per Sandberg |
Åse Michaelsen |
leder |
ordfører |